
Pegasusで監視していた側が、Pegasusで監視されていた#
スパイウェアの「調査官」が、そのスパイウェアの「被害者」だったとしたら——。 あなたはどう感じるだろうか?
トロント大学のデジタル人権研究機関「Citizen Lab」が、まさにそのような事実を公式に確認した。
この記事でわかること:
- 誰が、いつ、どのようにハッキングされたのか
- 使われた技術的手法(ゼロクリック攻撃とは何か)
- なぜこの事件が「法の支配への直接攻撃」と呼ばれるのか
- 現在どのような対応が取られているか
⏱ 約6分で読めます。
この記事の価値: スパイウェア問題の深刻さと、民主主義への影響を具体的な事例から理解できる。
【結論】今回の事件の重要ポイント4選#
忙しい読者のために、核心を先にまとめる。
- 調査委員がターゲットにされた: 欧州議会のPEGA委員会(スパイウェア乱用調査担当)メンバーが、委員として初めてPegasusの被害者として公式に特定された。
- ゼロクリック攻撃: 被害者の操作は一切不要。iPhoneのソフトウェアの脆弱性を悪用し、知らぬ間にデータが盗まれた。
- タイミングが意図的: ハッキングは委員会報告書の草稿作成時期と完全に一致している。
- 攻撃者は不明だが手口に一貫性: 以前に欧州各地の記者を標的にした攻撃と同じメールアドレスが使われていた。
詳細は以下の各セクションで展開する。
Pegasusとは?基本概念の解説#
**Pegasus(ペガサス)**とは、イスラエルに本社を置くNSOグループが開発した商用スパイウェアだ。
主に各国政府が「深刻な犯罪の捜査」を名目に導入するとされている。 しかし実際には、ジャーナリスト・政治家・批評家など、犯罪とは無関係の人物の端末に侵入するケースが相次いで報告されている。
**Citizen Lab(シチズンラボ)**は、トロント大学に属するデジタル人権研究機関だ。 Pegasusの乱用事例を長年にわたって調査・公表してきた組織として知られる。
PEGA委員会とは、欧州議会が設置したスパイウェア乱用調査専門の委員会を指す。 欧州各国政府によるスパイウェア使用を精査することがその任務だった。
NSO GroupのPegasusは「犯罪捜査のためのツール」として販売されているが、ジャーナリストや議員が繰り返し標的にされていることが確認されている。
この背景を踏まえると、今回の事件の意味がより鮮明になる。
被害の詳細:いつ、どのように端末が侵害されたか#
Citizen Labの報告書によると、被害者はギリシャのジャーナリストであり元政治家のステリオス・コウログルー氏だ。 PEGA委員会のメンバーとして活動していた人物である。
ハッキングのタイムライン#
| 時期 | 内容 |
|---|---|
| 2022年10月 | 1回目のPegasus侵害を確認 |
| 2022年10月〜11月 | 委員会の第一次草稿(キプロス・ギリシャ・ハンガリー・ポーランド・スペインにおける乱用に関するもの)作成の活発な議論時期と一致 |
| 2023年3月6〜7日 | アテネからブリュッセルへの移動中に再度ハッキング。委員会審議の時期と重なる |
2022年10月のハッキング時、コウログルー氏はあらかじめ予定していた手術のために入院中だった。 この状況により、スパイウェアのオペレーターが医療に関わる会話や病室での対話を傍受できた可能性が示唆されている。
使われた技術:ゼロクリック攻撃とは#
**ゼロクリック攻撃(Zero-click exploit)**とは、被害者が何もしなくても端末に侵入できる攻撃手法だ。
通常のフィッシング攻撃であれば「リンクをクリックする」などの操作が必要となる。 しかしゼロクリック攻撃では、被害者が一切気づかないまま侵害が完了する。
今回の攻撃では、AppleのiPhoneスマートホームソフトウェアの脆弱性が悪用された。
- パッチ(修正プログラム)はすでにAppleから提供されていた
- しかし、コウログルー氏の端末にはそのパッチが適用されていなかった
- これにより、スパイウェアは端末への侵入に成功した
盗まれたとされるデータの種類:
- テキストメッセージおよびその他のやり取り
- 位置情報データ
- 写真
コウログルー氏はTechCrunchの取材に対し、「専門的なやり取りだけでなく、幸せな瞬間も悲しい瞬間も含めた、ごく個人的なものまで取られたと気づいたとき、怒りを感じた」と語った。
なぜこの事件が重要か:法の支配への影響#
このセクションでは、「なぜ今回の事件がここまで深刻なのか」を整理する。
調査する側が調査されていたという逆説#
PEGA委員会は、スパイウェアの乱用を暴くために設置された機関だ。 その委員が、まさに調査対象のスパイウェアで侵害されていた——。
この事実は単なる「個人の被害」にとどまらない。 委員会の活動内容・内部議論・調査戦略が外部に漏れていた可能性を意味する。
ある現職の欧州議員はこのハッキングを**「法の支配への直接攻撃」**と表現し、欧州委員会に対してEU27加盟国全体でのスパイウェア使用に厳格な制限を課すよう求めた。
攻撃者は誰か#
Citizen Labは、攻撃を特定の国に帰属させることはしていない。 ただし以下の点を指摘している。
- 今回使われたPegasisが搭載されたメールアドレスは、過去に欧州各地のジャーナリストを標的にした攻撃と同一だった
- 同一のメールアドレスを再使用しているということは、NSOグループが複数の欧州諸国にまたがる監視活動を当該顧客に許可していたことを示唆する
顧客の身元は現時点で不明だ。
現在の対応と今後の動向#
コウログルー氏自身の対応#
コウログルー氏はTechCrunchに対し、NSOグループへの提訴を計画していると明らかにした。
彼はこの事実を公表した理由について、「民主主義・人権・腐敗との戦いのため」と語っている。
「腐敗はすべての人に関わる問題だ」と彼は述べた。
NSOグループを巡る現状#
NSOグループはイスラエルに本社を置くスパイウェアメーカーだ。
- 米国では、人権侵害を可能にするスパイウェアの政府使用を禁じたバイデン政権時代の大統領令により、事実上の使用禁止状態が続いている
- 報告書公開前、NSOグループはCitizen Labの報告に関するTechCrunchのコメント要請に回答しなかった
- 欧州委員会の広報担当者も、TechCrunchの取材に回答しなかった
- ソース記事によれば、ある匿名のアメリカ人投資グループがNSOグループに数千万ドル規模の資金を投入しており、これはNSOグループのブランド再建を図る動きの一環とみられると報じられている
まとめ:Pegasus問題が問いかけるもの#
今回の事件が改めて示すのは、スパイウェアの本質的な問題だ。
「深刻な犯罪の捜査」という名目で各国政府に販売されるPegasusが、実際にはジャーナリスト・議員・批評家の監視に使われているという構図は、これまでも繰り返し報告されてきた。
今回はその標的が、スパイウェア乱用を調査する委員会のメンバー自身だった。
重要ポイントの再確認:
- PEGA委員会メンバーとして初めて公式にPegasus被害者と特定されたのは、コウログルー氏
- ゼロクリック攻撃により、本人の操作なしに端末が侵害された
- ハッキングのタイミングは委員会の報告書作成時期と一致
- 攻撃に使われたメールアドレスは過去の攻撃キャンペーンと同一
- コウログルー氏はNSOグループへの提訴を予定
この問題のさらなる詳細や最新動向については、**元記事(TechCrunch、Zack Whittaker記者)**を参照されたい。
出典:TechCrunch「Politician who investigated spyware abuses had his phone hacked with Pegasus spyware」(2026年7月2日公開、著者:Zack Whittaker)




